La tutela dei dati personali: La privacy e l'e-commerce

• Autore: Riccardo Acciai
• Pagine: 161-176

Page 161

@1. Trattamenti "visibili" ed "invisibili"

È ormai pacifico che fra i problemi che ostacolano il completo sviluppo del commercio elettronico, quello della protezione dei dati personali va assumendo un ruolo sempre più di primo piano.

Mentre, infatti, sino a poco tempo fa, in questo settore si era generalmente inclini a ritenere le questioni relative alla tutela della privacy come secondarie, rispetto ai più avvertiti temi della sicurezza della transazione, del regime fiscale applicabile, o del foro competente in caso di controversie, recentemente, i sondaggi effettuati da diverse organizzazioni¹ e le frequenti dichiarazioni di molte associazioni di consumatori dimostrano la rilevanza che la protezione della riservatezza ha ormai acquisito nella coscienza collettiva, soprattutto, per il modo assai poco trasparente con cui i dati vengono acquisiti e trattati.

Ogni transazione effettuata sul Web comporta, com'è noto, la propalazione di un certo numero di informazioni personali, le quali, talvolta, sono chieste espressamente all'interessato, talaltra, vengono acquisite a sua totale insaputa.

La prima ipotesi si realizza generalmente quando i dati sono conferiti direttamente dalla persona che intende avvalersi di determinati servizi o che decide volontariamente di rispondere alle domande che, a vario titolo, gli vengono poste.

Page 162

Al di là di questa consapevolezza iniziale, però, molto spesso alla stessa persona non viene detto nulla (o assai poco) circa le modalità con le quali tali informazioni sono gestite e, soprattutto, se ed a chi esse saranno ulteriormente comunicate; inoltre, molti dei dati richiesti risultano frequentemente del tutto eccedenti rispetto alle necessità proprie della specifica prestazione² e, in un numero considerevole di casi, acquisiti al solo scopo di inviare successivamente informazioni commerciali da parte dell'originario titolare o di altri ai quali essi vengono successivamente ceduti.

Un altro degli aspetti "dolenti" nella comune gestione dei dati è rappresentato dalla carenza di adeguate misure di sicurezza.

E fin troppo scontato, a questo riguardo, il riferimento al recente episodio di cronaca che ha visto la violazione dell'elenco degli abbonati di una rivista di informatica, attraverso una semplice operazione di accesso a quella banca dati; violazione che, com'è noto, ha portato alla conoscenza non autorizzata sia dei nominativi di tali abbonati, sia dei numeri delle loro carte di credito³.

Se è vero che la conoscenza di tali informazioni dà luogo, in prima battuta, ad un problema di tipo sostanzialmente "economico" per i mal-capitati e per chi poi è chiamato (anche in termini di immagine) a riparare al danno, la relazione fra i nominativi degli abbonati ed il tipo di rivista di cui questi sono presumibilmente lettori costituisce un chiaro esempio del genere di violazioni della riservatezza che tali azioni possono comportare.

Page 163

Nel caso ricordato, sicuramente, gli effetti per la privacy degli interessati sono stati del tutto relativi, dato il tipo di rivista in questione, ma quali ripercussioni si sarebbero potute avere se l'accesso non autorizzato fosse avvenuto (tanto per rimanere nel campo editoriale) nei confronti di pubblicazioni di tipo diverso, tali da consentire, ad esempio, di risalire alle convinzioni religiose o politiche di una persona, ovvero alle sue condizioni di salute o alle sue preferenze sessuali?

Generalmente si è soliti sottovalutare questi aspetti, nella falsa convinzione che se non si è conosciuti da chi ha avuto accesso a determinati dati che ci riguardano, il danno che ne può derivare è sicuramente relativo; in effetti, la facilità con la quale determinate informazioni possono oggi essere elaborate, conservate, incrociate con altre ed ottenute "al momento opportuno" non sembrerebbe poter consentire tale condizione di tranquillità.

Oltre ai dati conferiti consapevolmente, poi, come si è accennato, un discorso del tutto peculiare è quello relativo alle "tracce" che inconsapevolmente si "lasciano" navigando su Internet ed ai dati che vengono intenzionalmente acquisiti senza che al soggetto interessato sia data alcuna informazione⁴.

In tale caso non si è tanto di fronte ad un rischio di violazione della riservatezza, quanto piuttosto ad un modo di trattare informazioni personali non compatibile con il quadro di garanzie che il legislatore comunitario e quello nazionale hanno voluto attribuire anche alFutente della Rete.

Il problema fondamentale, come si avrà modo di vedere, consiste proprio nella difficoltà di far rispettare un insieme di norme e di valori altamente condiviso nei Paesi occidentali che, troppo spesso, nel difficile contemperamento con altri importanti principi (quali ad es. quello di libertà economica), vengono sacrificati oltre misura.

Generalmente, nell'affrontare i temi relativi ala protezione dei dati personali, prima di esaminare la situazione italiana, si è soliti ricordare i Page 164 riferimenti internazionali e comunitari da cui la legislazione nazionale prende le mosse;- nel caso del commercio elettronico e, più in generale, della tutela della riservatezza su Internet è d'obbligo effettuare un percorso inverso, poiché le norme interne hanno scarso o nessun valore se non si inseriscono in un quadro internazionale soddisfacente.

@2. La protezione dei dati personali in Italia

Il nostro Paese, com'è noto, nel timore di rimanere escluso dal cosiddetto "spazio Schengen", che richiedeva fra l'altro l'esistenza di una normativa nazionale in materia di protezione dei dati personali, con un'accelerazione del tutto sorprendente, è riuscito a dotarsi entro la fine del 1996 di una legge che ha recepito in gran parte la più recente direttiva comunitaria in materia, la n. 95/46/CE⁵.

La "fretta" di adottare quella che sarebbe divenuta la legge 31 dicembre 1996, n. 675, nonché le indubbie difficoltà applicative di alcune norme comunitarie (sono ancora molti gli Stati membri che, a distanza di diverso tempo dall'entrata in vigore della direttiva, non hanno ancora avviato alcun passo ufficiale per il suo recepimento), hanno indotto il Parlamento a licenziare contestualmente una legge delega, la n. 676, che attribuiva al Governo il compito di integrare e modificare la legge principale.

Fra gli aspetti che avrebbero dovuto trovare completamento tramite la delega, l'art 1, comma 1, lettera n), della legge n. 676 faceva riferimento al settore che, pur con qualche esemplificazione, potremmo indicare come quello delle reti aperte.

Purtroppo la delega, dopo un primo rinnovo, è scaduta, così come è spirato il termine residuale previsto dalla legge comunitaria per il 1998, che dava la possibilità al Governo, fino al febbraio dell'anno successivo, di portare a completamento la trasposizione della direttiva del 1995. Al momento è fermo in Parlamento un ulteriore disegno di legge che potrebbe, da un momento all'altro, conferire una nuova delega all'esecutivo.

Page 165

In attesa di conoscere se vi sarà la possibilità di arrivare ad un atto normativo specìfico che regoli, per quanto possibile, ì problemi che l'uso di Internet crea da un punto di vista della tutela della riservatezza, va precisato, tuttavia, chiaramente che le norme già dettate dalla legge n. 675 per la generalità dei trattamenti sono applicabili anche al particolare mondo della Rete.

Come autorevolmente precisato, infatti, i trattamenti che vengono effettuati tramite Internet non si svolgono "nel vuoto", ma, pur utilizzando uno strumento particolare, sono da considerarsi a tutti gli effetti soggetti al sistema di regole creato dalla legislazione (comunitaria e) nazionale⁶.

I dati personali utilizzati ai fini di transazioni commerciali on-line, pertanto, devono essere trattati in modo lecito e secondo correttezza, raccolti e registrati per scopi espliciti e legittimi, esatti e, se necessario, aggiornati, pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti; infine, essi devono essere conservati solo per periodi di tempo accuratamente valutati (art, 9,1. n. 675/1996).

Allo stesso modo, gli internauti o i potenziali clienti devono essere resi edotti del fatto che sì stanno raccogliendo dati nei loro confronti, nonché per quali finalità e con quali modalità avviene tale raccolta; deve essere precisata inoltre la natura obbligatoria o facoltativa del conferimento di quei dati, oltre, ovviamente, alle categorie ed ai soggetti ai quali gli stessi possono essere comunicati (art 10,1, n. 675/1996).

Ancora, l'interessato deve prestare il proprio consenso al trattamento dei dati che lo riguardano e tale consenso non può essere dato, per esplicita scelta del nostro legislatore, attraverso una semplice acquiescenza, ma deve essere liberamente manifestato, in forma orale se i dati sono di carattere "comune" (art. 11), in forma scrìtta se invece si riferiscono a dati "sensibili" (art. 22) o ad alcuni provvedimenti giudiziari (art. 24).

L'interessato deve poi essere messo in condizione di esercitare i penetranti diritti previsti dall'art. 13 della legge che gli consentono di accedere ai suoi dati personali, di ottenerne l'aggiornamento, la rettificazione o l'integrazione, nonché, se sono trattati in violazione di legge, anche la cancellazione o il blocco (cioè l'interruzione di ogni trattamento, ecce-Page 166zion fatta per la mera conservazione). Inoltre, l'utente di Internet o il potenziale cliente può opporsi, senza dover avanzare alcuna particolare motivazione, all'uso dei suoi dati ai fini di prospezione commerciale.

Infine, secondo l'art. 15 della legge, ai dati personali detenuti dal "titolare", devono essere applicate idonee misure di sicurezza, con la possibilità di chiedere il ristoro di ogni danno subito qualora si dimostri che quelle adottate non si sono rivelate sufficienti ad evitare l'uso non autorizzato o la perdita anche accidentale degli stessi.

A breve distanza dall'entrata in vigore della legge n, 675; è stata poi...